Что такое стилер/стиллер/stealer и борьба с ним

catman

модератор раздела КФ

catman

модератор раздела КФ
Сообщения
451
Реакции
306
Баллы
0
Что же это такое

Стилер (от английского to steal, воровать) — определенный класс троянов (малвари, вирусов - как хотите), функционал которых полностью состоит из кражи сохраненных в системе паролей и отправка их "автору".

Стилер, пользуясь наивностью чукотских программистов, залазит в хранилища часто используемых программ и нагло тырит оттуда все логины, пароли и т.п. Следующий, он же последний этап работы программ данного класса — отправка вкусняшек злоумышленнику. Вот как-то так всё это и работает.

Из всего вышеописанного следует один громадный минус подобного софта: если пароли не сохранены, то парнишке-злодею стилер ничего не отправит.

Теперь о основных фичах стилеров. Чаще всего эти троянчеги воруют сохраненные пароли из браузеров (акки, банки и т.п.), FTP-клиентов и IM-клиентов (шестизнаки и т.п.). Отправка паролей может происходить в открытую - т.е. уже расшифрованные голые пароли передаются на гейт или еще куда, или же в зашифрованном виде. В идеале — в таком виде, чтобы никто кроме нашего парнишки не смог бы добраться до украденных паролей.
Логи (ну т.е. сразу пачка паролей от пользователя) в большинстве случаев отправляются злодею на FTP-сервер, на гейт или на почту.

Основные методы борьбы за сохранность наших паролей.

  • В принципе не сохранять пароли в браузере,FTP, и прочем подобном.
  • Всё записывать в блокнотик(не на компе, а такой, бумажный, с листочками))
  • Юзать не распространённые браузеры.
  • Делать ВТ, даже если на сайте уже лежит отчёт.


Как мы знаем пароли в браузерах хранятся в спец. файлов

Google Chrome :

XP -
C:\Documents and Settings\Username\Local Settings\Application dat\Google\Chrome\User dat\Default
в файле “Web dat”

Vista -
C:\Users\Username\Appdat\Local\Google\Chrome\User dat\Default
в файле “Web dat”

Firefox :
Пассы в Firefox хранятся в файле "signons.txt" или "signons2.txt" или "signons3.txt".

Который лежит тут : [Windows Profil]\Application dat\Mozilla\Firefox\Profiles\

Opera :
[Windows Profil]\Application dat\Opera\Opera\
в файле "wand.dat"

но как же их защитить от стиллера ?
вы удивитесь как просто это сделать
вам надо только поменять имя или путь где лежат эти файлы
Для того чтоб поменять имя или путь этих фалов надо открыть настройки браузера
как это делается читаем ниже

Для Firefox
Открываем браузер
В поле для url пишем about:config и открываем
Если это ваш первый вход то браузер предупредить вас чтоб вы были осторожны
Вам откроется окно где куча настроек
На верху в поле Поиск пишем signon и даем поиск
Поиск найдет 3 файлов “signon.txt” “signon2.txt” “signon3.txt”
Два раза кликаем по этим файлом и меняем имя
Но не забудьте , если вы "signon.txt" поменяли на "pass.txt" то "signon2.txt" должны поменять на "pass2.txt"
Все после этого перезапустите браузер

ВАЖНО! Перед тем как провернуть такую фишку не забудьте удалить все пароли из файлов “signon.txt” “signon2.txt” “signon3.txt”


Для Opera

Как выше уже отметил пассы от Оперы хранятся в файле "wand.dat"
Но мы не сможем поменять имя файла, вместо этого мы поменяем место хранение файла

Открываем браузер
В поле для url пишем opera:config и открываем
тут тоже в поле поиск пишем wand.dat
в оrне появляется наш файл и путь где он лежит
нажимаем на обзор и открывается окно где лежит файл
в этом же окне копируем wand.dat а потом переходим назад директорией выше
там создаем новую папку
открываем эту папку и сохраняем файл wand.dat (все эти операции мы делаем в окне которая открылась)
И все выбираем этот файл и нажимаем "Ок"
и все файл с пассами теперь будет лежать там куда мы его скопировали
Старый файл уже можно удалять

Вот и все. Уже стиллер не сможет украсть ваши пассы. Так как мы поменяли место хранение файла


Для Chrome

В этом браузере мы несможем поменять что - то
Но это незначит что мы несможем зашитить свои пассы
Для этого есть спец. программа "Chromeplus"


Но конечно для всего есть альтернатива
Для тех кто нехочет копаться в настройках есть программа "Kasperky Password Manager"
Устанавливаем и защищаемся


Не всё так плохо, как кажется на первый взгляд, ведь у нас есть Wireshark
На примере UFR



Нам понядобятся:
  • Билд стилера. Его ловим на любом хэк-форуме, обычно его впаривают под видом неибаццо полезной тулзы или кряка.
  • Wireshark (
    Please, Вход or Регистрация to view URLs content!
    )
  • Виртуалка (Oracle VirtualBox)
Установку VBox и Wireshark опустим, это должно быть установлено и настроено заранее.
Первое, что надо сделать — убить или хотя бы за'suspend-ить все процессы, которые юзают сеть. Так будет проще найти нужные данные в тоннах хуйни. Запускаем Wireshark и настраиваем интерфейс для сниффинга: Capture -> Interfaces. Выбираем тот, который используется у Вас — в колонке Packets будет наибольшее число. Жмем "Start", тем самым начиная сниффинг.

Запускаем билд стилера (всё на виртуалке, и никак иначе!) и контролируем Process Explorer'ом (на самый худой и короткоствольный конец — Диспетчером задач) его работу, ожидаем завершения.

Переходим в Wireshark и жмем Capture -> Stop, т.е. завершаем сниффинг. Теперь у нас есть дамп сетевой активности всей системы за то время, пока работал билд стилера. Осталось найти нужные данные.

Для начала пробуем засечь FTP-сервер, вдруг стилер именно таким образом отправляет отчет с паролями. Для фильтрации в Wireshark'е есть всё необходимое — вбиваем в поле фильтрации (оно находится прямо над списком пойманных пакетов) слово "ftp" и жмем "Enter":
Мы получили список пакетов, отправленных по FTP:
На картинке обозначены хост, логин и пароль от FTP. Негодяй-впариватель попался, время отрывать ему яйца.
Если же ничего такого в окне сниффера не просматривается, значит на FTP логи не идут (еще это может значить, что в стилере включены анти-фичи вроде Anti-Wireshark, но об этом позже).
Попробуем словить адрес гейта. Убираем "ftp" из строки фильтрации и ищем по пакетам следы стилера. Жмем Ctrl+F для открытия окна поиска. Выбираем поиск строк (Find by: String) и вбиваем в поле поиска строку "UFR", остальное оставляем по дефолту, и ищем. Если билд отправляет пароли на гейт, что-то должно было найтись, вкусный пакет вот такого вида:
Обезьяна со стилером попалась, собираем кибер-братию и идём бить морду.
Если же находятся только левые пакеты, то забиваем, это всё быть мусор — на гейт ничего не идёт.
Остается только мыло. Для этого в поле фильтрации вбиваем строку "smtp" и видим такое:
Декодируем логин и пароль от мыла отправителя при помощи
Please, Вход or Регистрация to view URLs content!
веб-морды, заходим в почту и меняем пароль (чтоб поднасрать, ибо нехуй!).

Если же сниффинг ничего не дал, значит в стилере включена защита от подобной хуиты. Можно попробовать сменить имя EXE'шника вайршарка, или изменить заголовок окна, но не факт что поможет.


И да, не надеемся на ваш антивирус, зловред легко криптануть(ну если его не школьник делал, то он обязательно закриптован)
И если вы уверены что стиллер прикреплён к рабочей проге(которая вам просто необходима и нигде её больше не взять), то запускайте просто прогу на виртуалке или в песочнице(SandBoxie).

От меня тут мало, просто собрал всю инфу что нашёл, и которая реально помогает.
Если что-то забыл, говорите, добавлю.
 

KPSS

Адекват

KPSS

Адекват
Сообщения
45
Реакции
57
Баллы
0
+ добавь софт для защиты тп comodo,zemana и тд
сообсна что бы не поймать это всё)
 

catman

модератор раздела КФ

catman

модератор раздела КФ
Сообщения
451
Реакции
306
Баллы
0
Не, антивирусник нам не поможет от криптованого файла, а zemana от rat'oв только.
Хотя...я ещё не пробовал "Zemana AntiMalware", только антикейлогер.
 

Сверху